WAN上のMACsec(Media Access Control Security)

MACsec セッションを確立するには、MACsec キー アグリーメント(MKA)を使用して、ピア ノード間で必要なキーを交換します。MKA PDU は、トランスポートプロトコルとして LAN(EAPoL)上の拡張認証プロトコルを使用して送信されます。EAPoL はレイヤー 2 プロトコルであり、通常はスイッチまたはルーターによってローカルで処理され、それ以上伝送されることはありません。

ノードがサービスプロバイダーネットワークを介して接続されている場合、これは課題を提示します。 図1 は、サービスプロバイダーネットワーク上で伝送されるMACsecを示しています。MKAは、顧客デバイスAとBの間でキーを交換する必要があります。エッジ ルーターまたは中間デバイスは、EAPoL パケットを処理しないでください。代わりに、ネクストホップに透過的に転送する必要があります。

EAPoL パケットのデフォルトの宛先 MAC アドレスはマルチキャスト アドレスです。サービスプロバイダーのネットワークでは、パケットがそれらのパケット向けであると仮定して、これらのパケットを消費するデバイスが存在する可能性があります。EAPoL は 802.1X などの認証方法で使用され、設定によってはデバイスがパケットをドロップする可能性があります。これにより、MKA セッションが失敗します。EAPoL パケットが正しい宛先に確実に届くようにするには、宛先 MAC アドレスを変更して、サービス プロバイダ ネットワークがパケットを消費するのではなくトンネリングするようにします。

VLAN レベルの MACsec では、1 つの物理ポートで複数の MKA セッションが許可されます。これにより、サービスプロバイダのWANを介したポイントツーマルチポイント接続のMACsec暗号化によるサービス多重化が可能になります。

VLAN レベルの MACsec をサポートするために、MKA プロトコル パケットは論理インターフェイスで設定された VLAN タグを使用して送信されます。VLANタグはクリアテキストで送信されるため、MACsecを認識しない中間スイッチはVLANタグに基づいてパケットを切り替えることができます。

MACsecを設定する場合、接続アソシエーションをインターフェイスにバインドする必要があります。VLAN レベルの MACsec を有効にするには、次のコマンドを使用して、接続の関連付けを論理インターフェイスにバインドします。

完全な設定の詳細については、 スタティック CAK モードでの MACsec の設定を参照してください。